Конфигуриране на Mikrotik, извличане на пристанища rdp и ftp. Как да направите препращане в Микротик?

За маршрутизатори с марка Mikrotik доста често се изисква пристанищна спедиция. Въпреки това, за мрежовите администратори и за неподготвени потребители, решаването на този проблем често е доста трудно. Следва кратка инструкция, след която можете лесно да изпълнявате всякакви операции от този тип, но ще ви се наложи да направите малко.

Конфигуриране на Mikrotik с препращане на портове. Защо това е необходимо?

Преди да продължите с конфигурирането на маршрутизатора, е необходимо да се занимавате малко с принципите на пренасочване на портове и с това, за което се използва.

Настройката по подразбиране на Mikrotik е, че компютрите, разположени във вътрешната или външната мрежа, не виждат IP адресите, присвоени на други терминали. Тук се използва правилото за така наречената маскарад, когато самият рутер заменя адреса на машината, към която е предназначена от собствения си външен IP, когато получава заявка, въпреки че отваря необходимия порт. Оказва се, че всички устройства, които са свързани към мрежата, виждат само маршрутизатора и остават невидими.

В тази връзка, в някои ситуации за устройствата на Mikrotik, препращането на пристанища става абсолютна необходимост. Най-често срещаните случаи са:

• организиране на отдалечен достъп до устройства в мрежата въз основа на технологиите за ПРСР;
• създаване на игра или FTP сървър;
• организация мрежи от тип "peer-to-peer" и установяване на правилното функциониране на торент клиенти;
• достъп до камери и системи за видеонаблюдение отвън чрез интернет.

Достъп до уеб интерфейса

Така че, ние продължаваме. За маршрутизаторите на Mikrotik, препращането на портове (RDP, FTP и т.н.) започва с интерфейса за управление на устройства, наречен уеб интерфейс. И ако по-голямата част от познатите маршрутизатори като стандарт адресират комбинациите 192.168 с крайни стойности 0.1 или 1.1, този вариант не минава тук.

За достъп в уеб браузър (най-добре е да се използва стандартен Internet Explorer), комбинацията 192.168.88.1 е предписана в адресната лента, admin е въведена в полето за вход и редовете за парола остават празни. В случай, че достъпът по някаква причина е блокиран (маршрутизаторът не приема данните за вход), ще трябва да нулирате настройките, като кликнете върху съответния бутон или изключите устройството от захранването за 10-15 секунди.

Общи настройки и настройки

Интерфейсът е въведен. Сега най-важното: при Микротик препращането на портове се основава на създаването на т. Нар. Правила за изключване на маскарадната функция (същата маскарадка със заместването на IP адресите, споменато по-горе).

В общите настройки на секцията Firewall / NAT можете да забележите, че едно правило вече съществува. Той е зададен като една от фабричните настройки. Препращането на портове в общия случай се състои в добавянето на ново правило, като се натисне бутонът с знак "плюс", след което ще е необходимо да се попълнят няколко основни полета за настройки.

Примери за използвани пристанища

Сега нека да разгледаме някои възможни примери за използване на пристанища. В зависимост от това какво точно ще се използва за всеки отворен порт, стойностите могат да бъдат:

• Торент: tcp / 51413;
• SSH: tcp / 22;
• SQL Server: tcp / 1433;
• WEB сървър: tcp / 80;
• telnet: tcp / 23;
• RDP: tcp / 3389;
• snmp: udp / 161 и т.н.

Тези стойности ще се използват за предаване на всяко такова пристанище.

Създаване на правила и избор на действия

Сега създайте ново правило и продължете да попълвате полетата за настройки. Тук трябва да сте много внимателни и да продължите от точно какъв достъп е необходим за изпълнение (отвътре навън или обратно).

Параметрите трябва да бъдат:

• Веригата: srcnat се използва за достъп от локалната мрежа, така да се каже, до външния свят, dstnat - за достъп до локалната мрежа отвън (изберете втората опция за входящи връзки);
• адресни полета Src. и Dst. оставете празно;
• в протоколното поле изберете или tcp или udp (обикновено зададени на 6 (tcp);
• Src. Портът остава празен, т.е. изходящия порт за външни връзки не е важен;
• Dst. Пристанище (пристанище по местоназначение): Посочете пристанището за горните примери (например 51413 за торенти, 3389 за RDP и т.н.);
• Всеки порт може да остане празен, но ако посочите номер, един порт ще бъде използван както като входящ, така и като изходящ;
• В. Интерфейс: входът на самия маршрутизатор (обикновено ether1-gateway) е въведен;
• Out. Интерфейс: определя изходящия интерфейс (можете да пропуснете).

Забележка: при пренасочване на портове за отдалечено свързване отвън (RDP) в полето Src. Адресът определя IP адреса на отдалечения компютър, от който е предназначен достъпът. стандарт RDP порт за свързване 3389. Въпреки това, повечето експерти не препоръчват да правите такива неща, защото е много по-безопасно и по-лесно да се конфигурирате на VPN рутера.

Освен това в маршрутизатора Mikrotik препращането на портове предполага избор на действие. Всъщност тук е достатъчно да посочите само три параметъра:

• Действие: приема (просто приемане), но за външен достъп, dst-nat е зададен (можете да зададете по-усъвършенствана настройка на netmap);
• Адреси: въвежда се вътрешният адрес на машината, към която трябва да се извърши пренасочването;
• За портове: като цяло, стойността е зададена на 80, но 51413 е указана за правилна работа на същия торент.

Конфигуриране на Mikrotik: Препращане на FTP порт

И накрая, няколко думи за това, какви настройки са необходими за FTP. На първо място, трябва да конфигурирате самия FTP сървър, например, въз основа на FileZilla, но това е отделен разговор. В този случай се интересуваме по-скоро от миграцията на FTP портовете Mikrotik, а не от конфигурацията на сървърната част.

Смята се, че FTP сървърът, въпреки че изисква спецификация на определен обхват от пристанища, но работи перфектно на контролния порт 21. Той трябва да бъде активиран.

Както в общия случай, първо трябва да създадете ново правило, само в тази ситуация ще има две: за контролния порт и за целия обхват на пристанищата.

За порт 21 параметрите трябва да бъдат:

• Верига: dst-nat;
• Dst. Адрес: външен адрес на маршрутизатора (например 1.1.1.28);
• Протокол: 6 (tcp);
• Dst. Пристанище: 21
• В. Интерфейс: ether1-gateway.

Следните стойности са зададени за раздела Действие на действието:

• Действие: dst-nat;
• Dst. Адрес: адресът на терминала, на който е инсталиран FTP сървърът;
• Към пристанищата: 21.

За обхват (например 50000-50050) всички опции са подобни, с изключение на два параметъра:

• в общите настройки за Dst. Портът показва целия обхват на портовете;
• Когато изберете действие, същият обхват се вписва в полето За портове.

Имайте предвид, че при настройването на пренасочването на FTP трябва да следвате документацията на рутера и се казва, че не се препоръчва да се използва първоначалният праг от диапазона на портовете под стойността 1024. Тази точка също трябва да се вземе под внимание.

По принцип можете да използвате функцията Hairpin NAT Mikrotik, но това е необходимо само когато трябва да въведете външен IP от локалната мрежа. По принцип не е необходимо да го активирате.